1. מהו “אימות מקצה לקצה”?
מערכת הצבעה היא ניתנת לאימות מקצה לקצה אם כל בוחר/ת יכול/ה לוודא שהצבעתו/ה נרשמה ונספרה כהלכה. במערכת כזו אף אחד, אפילו לא מנהלי מערכת ההצבעה, אינו יכול לשנות הצבעה מבלי שהדבר יתגלה.
2. האם האקר מוכשר (או מדינה זרה) יכול לזייף תוצאות?
לא. בתרחיש הגרוע ביותר הפרטיות של המערכת עלולה להיפגע, אך השלמות של המערכת תמיד נשמרת. הבה נדגיש זאת מעט יותר. הבה ניקח בחשבון את התרחיש הבלתי סביר, הגרוע ביותר, שבו האקר משיג שליטה מלאה הן על התוכנה והן על כל המפתחות הסודיים של המערכת. אפילו במקרה זה, המערכת מבטיחה שאם ההאקר ינסה לשנות את ההצבעות המפורסמות או את התוצאה הסופית, הבודקים יגלו את הניסיון ויחשפו את הזיוף. לפיכך, אם הבחירות עוברות ביקורת ומאומתות בהצלחה על ידי הבוחרים, הבוחרים יכולים להיות בטוחים שתוצאות הבחירות נכונות.
3. האם אני יכול/ה לסמוך על הצפנה לשמירה על פרטיותי?
הצפנה משמשת בהרחבה ביישומים חשובים רבים (בנקאות מקוונת, עסקאות פיננסיות, חתימות אלקטרוניות, שימושים צבאיים) שלעתים קרובות כרוכים במיליארדי דולרים. קיים תקן NIST מפורט הנוגע לפרימיטיבים קריפטוגרפיים אלו, ואנו פועלים בהתאם לתקנים אלו.
4. מדוע “אימות בוחרים” חשוב?
מניעת הונאת בחירות הייתה תמיד אתגר מרכזי. באופן מפתיע, גם בארה”ב נושא זה היה בעייתי. דוגמה עדכנית היא בחירות 2004 לנשיאות ארה”ב. המקור העיקרי לבעיות עם הציוד ששימש בבחירות אלו היה חוסר השקיפות שלו: פשוט לא הייתה דרך לבוחרים לוודא שהצבעתם נרשמה כהלכה. אנו מאמינים שהמסר ברור מאוד. אפילו אם לא התבצעה הונאה בבחירות 2004 בארה”ב, התהליך עדיין נכשל, כיוון שלא מספיק שהמערכת פועלת כהלכה, חובה גם שניתן יהיה להוכיח זאת באופן משכנע. בקיצור: מערכות הצבעה מודרניות חייבות להיות ניתנות לאימות. אנו מאמינים בתוקף שלכל מערכות ההצבעה המודרניות צריכה להיות תכונה זו, ובנינו את Wombat Voting כדי להדגים רעיון זה.
5. כיצד אני יודע/ת שהקול שלי נספר?
לאחר שאתם בוחרים במסך המגע, ההצבעה שלכם מוצפנת ולאחר מכן מודפסת על נייר. ההדפסה מכילה שני חלקים: טקסט גלוי שמוכנס לתיבת הקלפי וההצבעה המוצפנת שלכם שמופיעה בדף מעקב ההצבעות הציבורי וניתנת לכם כקבלה. תוכלו לוודא, בכל עת, שטקסט הצופן שניתן לכם כקבלה תואם את הערך שמופיע בדף מעקב ההצבעות הציבורי.
6. כיצד אני יודע/ת שהקבלה שלי מקודדת נכון את ההצבעה שלי?
שאלה שנשאלת לעתים קרובות היא "כיצד אוכל להיות בטוח/ה שהערך על הקבלה שלי אכן מצפין את הצבעתי?" התשובה לכך טמונה בתהליך ייצור הקבלה. לאחר ביצוע הבחירה במסך המגע, מודפס פתק. הפתק מכיל:
הקבלה (שאמורה להכיל את ההצבעה המוצפנת שלכם), ו-
ההצבעה שלכם בטקסט גלוי.
אתם יכולים (וצריכים) לוודא שהערך המופיע בטקסט הגלוי הוא אכן הבחירה שלכם. אם תרצו, תוכלו גם ללחוץ על כפתור "ביקורת" ולבקש מהמכונה לחשוף את האקראיות שנעשה בה שימוש להצפנת הצבעתכם. לבסוף, תוכלו לוודא שההודעה המוצפנת תואמת את הערך שבדף מעקב ההצבעות.
7. האם הקבלה יכולה לחשוף את הצבעתי?
כדי להגן על פרטיותכם, הקבלה מכילה את הצבעתכם מוצפנת במערכת הצפנה עם מפתח ציבורי. משמעות הדבר היא שמכונת ההצבעה יכולה להצפין את הצבעתכם, אך אף אחד אינו יכול לפענח אותה ללא ידיעת המפתח הפרטי הסודי. במערכת שלנו יש קבוצת נאמנים המחזיקה באופן משותף את המפתח הסודי באופן שאף צד אינו יכול לפענח הודעה ללא עזרת האחרים (ראו מערכת הצפנה סיפית לפרטים נוספים).
9. אין לי הכשרה מתמטית. כיצד אני יודע/ת שכל ההצפנות נספרו כהלכה?
הצפנה משמשת בהרחבה כיום, למשל, כמעט כל הדפדפנים תומכים בהצפנה. כל מי שמבין הצפנה יכול לכתוב תוכנית פשוטה הבודקת את תקינות הבחירות. אפילו אם אינכם מבינים הצפנה בעצמכם, תוכלו עדיין לבדוק את תקינות המערכת באמצעות תוכנת ביקורת שהושגה ממקור אמין.
שאלות נפוצות
1. מהו “אימות מקצה לקצה”?
2. האם האקר מוכשר (או מדינה זרה) יכול לזייף תוצאות?
3. האם אני יכול/ה לסמוך על הצפנה לשמירה על פרטיותי?
4. מדוע “אימות בוחרים” חשוב?
5. כיצד אני יודע/ת שהקול שלי נספר?
6. כיצד אני יודע/ת שהקבלה שלי מקודדת נכון את ההצבעה שלי?
7. האם הקבלה יכולה לחשוף את הצבעתי?
8. כיצד מערכת Wombat מונעת הכנסת פתקים מזויפים?
9. אין לי הכשרה מתמטית. כיצד אני יודע/ת שכל ההצפנות נספרו כהלכה?
10. האם קיימות מערכות הצבעה אחרות התומכות ב“אימות מקצה לקצה”?
1. מהו “אימות מקצה לקצה”?
מערכת הצבעה היא ניתנת לאימות מקצה לקצה אם כל בוחר/ת יכול/ה לוודא שהצבעתו/ה נרשמה ונספרה כהלכה. במערכת כזו אף אחד, אפילו לא מנהלי מערכת ההצבעה, אינו יכול לשנות הצבעה מבלי שהדבר יתגלה.
2. האם האקר מוכשר (או מדינה זרה) יכול לזייף תוצאות?
לא. בתרחיש הגרוע ביותר הפרטיות של המערכת עלולה להיפגע, אך השלמות של המערכת תמיד נשמרת. הבה נדגיש זאת מעט יותר. הבה ניקח בחשבון את התרחיש הבלתי סביר, הגרוע ביותר, שבו האקר משיג שליטה מלאה הן על התוכנה והן על כל המפתחות הסודיים של המערכת. אפילו במקרה זה, המערכת מבטיחה שאם ההאקר ינסה לשנות את ההצבעות המפורסמות או את התוצאה הסופית, הבודקים יגלו את הניסיון ויחשפו את הזיוף. לפיכך, אם הבחירות עוברות ביקורת ומאומתות בהצלחה על ידי הבוחרים, הבוחרים יכולים להיות בטוחים שתוצאות הבחירות נכונות.
3. האם אני יכול/ה לסמוך על הצפנה לשמירה על פרטיותי?
הצפנה משמשת בהרחבה ביישומים חשובים רבים (בנקאות מקוונת, עסקאות פיננסיות, חתימות אלקטרוניות, שימושים צבאיים) שלעתים קרובות כרוכים במיליארדי דולרים. קיים תקן NIST מפורט הנוגע לפרימיטיבים קריפטוגרפיים אלו, ואנו פועלים בהתאם לתקנים אלו.
4. מדוע “אימות בוחרים” חשוב?
מניעת הונאת בחירות הייתה תמיד אתגר מרכזי. באופן מפתיע, גם בארה”ב נושא זה היה בעייתי. דוגמה עדכנית היא בחירות 2004 לנשיאות ארה”ב. המקור העיקרי לבעיות עם הציוד ששימש בבחירות אלו היה חוסר השקיפות שלו: פשוט לא הייתה דרך לבוחרים לוודא שהצבעתם נרשמה כהלכה. אנו מאמינים שהמסר ברור מאוד. אפילו אם לא התבצעה הונאה בבחירות 2004 בארה”ב, התהליך עדיין נכשל, כיוון שלא מספיק שהמערכת פועלת כהלכה, חובה גם שניתן יהיה להוכיח זאת באופן משכנע. בקיצור: מערכות הצבעה מודרניות חייבות להיות ניתנות לאימות. אנו מאמינים בתוקף שלכל מערכות ההצבעה המודרניות צריכה להיות תכונה זו, ובנינו את Wombat Voting כדי להדגים רעיון זה.
5. כיצד אני יודע/ת שהקול שלי נספר?
לאחר שאתם בוחרים במסך המגע, ההצבעה שלכם מוצפנת ולאחר מכן מודפסת על נייר. ההדפסה מכילה שני חלקים: טקסט גלוי שמוכנס לתיבת הקלפי וההצבעה המוצפנת שלכם שמופיעה בדף מעקב ההצבעות הציבורי וניתנת לכם כקבלה. תוכלו לוודא, בכל עת, שטקסט הצופן שניתן לכם כקבלה תואם את הערך שמופיע בדף מעקב ההצבעות הציבורי.
6. כיצד אני יודע/ת שהקבלה שלי מקודדת נכון את ההצבעה שלי?
שאלה שנשאלת לעתים קרובות היא "כיצד אוכל להיות בטוח/ה שהערך על הקבלה שלי אכן מצפין את הצבעתי?" התשובה לכך טמונה בתהליך ייצור הקבלה. לאחר ביצוע הבחירה במסך המגע, מודפס פתק. הפתק מכיל:
אתם יכולים (וצריכים) לוודא שהערך המופיע בטקסט הגלוי הוא אכן הבחירה שלכם. אם תרצו, תוכלו גם ללחוץ על כפתור "ביקורת" ולבקש מהמכונה לחשוף את האקראיות שנעשה בה שימוש להצפנת הצבעתכם. לבסוף, תוכלו לוודא שההודעה המוצפנת תואמת את הערך שבדף מעקב ההצבעות.
7. האם הקבלה יכולה לחשוף את הצבעתי?
כדי להגן על פרטיותכם, הקבלה מכילה את הצבעתכם מוצפנת במערכת הצפנה עם מפתח ציבורי. משמעות הדבר היא שמכונת ההצבעה יכולה להצפין את הצבעתכם, אך אף אחד אינו יכול לפענח אותה ללא ידיעת המפתח הפרטי הסודי. במערכת שלנו יש קבוצת נאמנים המחזיקה באופן משותף את המפתח הסודי באופן שאף צד אינו יכול לפענח הודעה ללא עזרת האחרים (ראו מערכת הצפנה סיפית לפרטים נוספים).
8. כיצד מערכת Wombat מונעת הכנסת פתקים מזויפים?
אנו סומכים על חברי ועדת הקלפי שיזהו כל בוחר/ת ויאפשרו לכל בוחר/ת להצביע פעם אחת בלבד.
9. אין לי הכשרה מתמטית. כיצד אני יודע/ת שכל ההצפנות נספרו כהלכה?
הצפנה משמשת בהרחבה כיום, למשל, כמעט כל הדפדפנים תומכים בהצפנה. כל מי שמבין הצפנה יכול לכתוב תוכנית פשוטה הבודקת את תקינות הבחירות. אפילו אם אינכם מבינים הצפנה בעצמכם, תוכלו עדיין לבדוק את תקינות המערכת באמצעות תוכנת ביקורת שהושגה ממקור אמין.
10. האם קיימות מערכות הצבעה אחרות התומכות ב“אימות מקצה לקצה”?
כן. הצבעה קריפטוגרפית היא תחום מחקר פעיל, והוצעו פרוטוקולים רבים הניתנים לאימות מקצה לקצה. מספר פרוטוקולים מומשו, ומערכת ההצבעה Scantegrity II אף שימשה בבחירות טאקומה פארק, מרילנד בנובמבר 2009. המערכת שלנו היא גרסה של המערכות הנ"ל, עם מספר תכונות ייחודיות, כמו השימוש המשולב בפתקים אלקטרוניים וניירות.